أعلنت شركة "غوغل" قبل أيام عن اطلاق إضافة أمنية جديدة مخصصة لمتصفح "غوغل كروم" تحمل اسم "باسوورد آلرت" وتتلخص مهمتها الأساسية في تحذير المستخدمين عند إدخال كلمات المرور الخاصة بحساباتهم على "غوغل" ضمن صفحات احتيال وتصيّد، إلا أن تلك الإضافة الأمنية تعرضت للاختراق.
وتقوم "باسوورد آلرت" بإظهار تنبيه للمستخدم في حال قيامه بإدخال كلمة المرور الخاصة به ضمن أي صفحة تصيّد قد يظن أنها تابعة لشركة "غوغل"، وبالتالي إتاحة إمكانية تحديث كلمة المرور الخاصة بالمستخدم لحماية حسابه، لكن بعد نحو 24 ساعة فقط من إطلاقها، أوجد باحث أمني طريقتين لتجاوزها.
واشار الباحث الأمني البريطاني بول مور الى أن الطريقة الأولى تعتمد على كود الجافا سكريبت الذي يظهر في صفحة التصيّد من أجل تحذير المستخدم، ولفت الى ان تجاوز الحاجز الأمني تطلب سبعة أسطر فقط من التعليمات البرمجية تؤدي إلى عدم ظهور أي تنبيه للمستخدمين عند إدخال كلمة مرور حساباتهم في موقع غير تابع إلى "غوغل".
كما لفت الى أن الإضافة تعمل على تسجيل كل حرف يقوم المستخدم بإدخاله ومقارنته مع آخر كلمة مرور مخزنة وعند تطابقهما ترسل الإضافة تنبيهاً إلى المستخدم لتغيير كلمة المرور الخاصة به.
وقد ردت الشركة بسرعة على هذه المشكلة من خلال تحديث الإضافة لإصلاح الثغرة الأمنية، لكن وبعد يوم واحد فقط من علاجها للثغرة عاد مور للتحايل على النظام الأمني الخاص بالإضافة من خلال طريقة أخرى، حيث اكتشف طريقة يتم استغلالها عبر عمل تحديث للصفحة بعد كل حرف يدخله المستخدم من كلمة السر الخاصة به، وهي الخدعة التي تنطلي على نظام الإنذار الخاص بالإضافة مما يتيح للمواقع الخبيثة استخدامها ضدها.
